JP3955567B2 - 有限非可換群を用いた公開鍵暗号システム - Google Patents

有限非可換群を用いた公開鍵暗号システム Download PDF

Info

Publication number
JP3955567B2
JP3955567B2 JP2003513179A JP2003513179A JP3955567B2 JP 3955567 B2 JP3955567 B2 JP 3955567B2 JP 2003513179 A JP2003513179 A JP 2003513179A JP 2003513179 A JP2003513179 A JP 2003513179A JP 3955567 B2 JP3955567 B2 JP 3955567B2
Authority
JP
Japan
Prior art keywords
inn
automorphism
internal
map
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003513179A
Other languages
English (en)
Other versions
JP2004534971A (ja
Inventor
ペン、ソン‐フン
ハ、キル‐チャン
キム、ジェ‐ホン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electronics and Telecommunications Research Institute ETRI
Original Assignee
Electronics and Telecommunications Research Institute ETRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electronics and Telecommunications Research Institute ETRI filed Critical Electronics and Telecommunications Research Institute ETRI
Publication of JP2004534971A publication Critical patent/JP2004534971A/ja
Application granted granted Critical
Publication of JP3955567B2 publication Critical patent/JP3955567B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Description

本発明は、有限非可換群を用いた公開鍵暗号システムに関し、特に、有限非可換群を生成する方法、並びに、その非可換群を用いた有効な公開鍵暗号システムの実現及びその応用方法に関する。
慣用(又は対称形)暗号システム(conventional or symmetric cryptosystem)は、秘密鍵を用いて文書を暗号化及び復号化させるシステムであって、ユーザが同じ秘密鍵(secret key)を各々所有しなければならないため、秘密鍵を管理することが困難であり、伝達しようとするメッセージにデジタル署名(digital signature)を添付させられないという短所を有する。
1976年にDiffieとHellmanにより紹介されて以来、現代暗号学の新しい転機を設けるようになった公開鍵暗号システム(Public Key Cryptosystem)は、公開鍵及び秘密鍵を用いたシステムであって、公開鍵を誰でも利用できるように公開し、秘密鍵をユーザが保管することによって、公開鍵を有するユーザ間の非公開的なメッセージの交換が可能なようにする。
従来、合成数の難しい因数分解問題(factorization problem)を用いたRSA暗号システムと、離散対数問題(Discrete Logarithm Problem;DLP)を用いたエルガマル(ElGamal)方式の暗号システムとが使用されていた。また、最近、非可換群(non abelian groups)での難しい共役演算問題(conjugacy problem)を用いたブレイド(braid)演算暗号システムが開発された。
楕円曲線を用いた公開鍵暗号システムは、1993年12月21日付で登録された米国特許第5,272,755号の「楕円曲線を用いた公開鍵暗号システム」(“Public key cryptosystem with an elliptic cuve”)に開示されており、共役演算問題を利用したブレイド演算暗号システムは、2000年8月に‘K.H.Koら’により論文集[Advances in Cryptology Crypto 2000]に発表された「組糸群を用いた新公開鍵暗号システム」“New public-key cryptosystem using braid group”に開示されている。
でのエルガマル暗号のような離散対数問題を利用する場合、指数計算法(index calculus)のような効果的なアルゴリズムの開発により、可換群である有限体において群及び鍵のサイズが増加する。従って、このような問題を解決するために、離散対数問題を解く既存のアルゴリズムを回避しながら、群と鍵とを十分に安定的に維持できる公開鍵暗号システムが提示されなければならない。
従って、本発明の目的は、有限非可換群の自己同型写像を用いた離散対数問題を利用することによって、上述の短所を解消できる、有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム、及び、有限非可換群の自己同型写像を用いた離散対数問題に基づく対称鍵交換システムを提供することにある。
また、非可換群を用いるとき、与えられた元の表現が約束されていなければ、平文と復号化した平文とが異なって認識され得るという問題点があるので、任意の元を選択して、与えられた表現方法により表現しなければならない。従って、非可換群を用いた暗号システムは、任意の元を与えられた表現方法により有効に表現できるかが非常に重要になる。
本発明に係る有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システムの一態様は、
第1非可換群(G)の生成元及び第1元(p)を各々選択して、第1公開鍵(Inn(g))として用いられる第1内部自己同型写像(Inn(g))を計算し、第1整数である秘密鍵(a)及び上記第1公開鍵(Inn(g))を用いて第2公開鍵(Inn(g))を生成するための公開鍵生成手段と、
平文を第2非可換群の生成元の積により表現し、任意の第2整数(b)及び上記第1公開鍵(Inn(g))を用いて第2内部自己同型写像(Inn(g))を計算し、上記第2整数(b)及び第2公開鍵(Inn(g))を用いて第3内部自己同型写像(Inn(gab))を計算し、上記第3内部自己同型写像(Inn(gab))を用いて暗号文を生成するための暗号化手段と、
上記秘密鍵(a)及び上記第2内部自己同型写像(Inn(g))を用いて第4内部自己同型写像(Inn(g−ab))を生成し、上記第4内部自己同型写像(Inn(g−ab))を用いて上記暗号文(E)を復号化するための復号化手段と、
を備えていることを特徴とする。
本発明に係る有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システムの他の態様は、
非可換群(G)の生成元及び元(p)を各々選択して、第1公開鍵(Inn(g))として用いられる第1内部自己同型写像(Inn(g))を計算し、整数である秘密鍵(a)及び上記第1公開鍵(Inn(g))を用いて第2公開鍵(Inn(g))を生成するための公開鍵生成手段と、
上記第1公開鍵(Inn(g))及び任意の乱数(b)を用いて第2内部自己同型写像(Inn(g))を計算し、上記第2内部自己同型写像(Inn(g))を用いて対称鍵(K)を生成するための手段と、
上記対称鍵(K)を用いて付加文を含む平文を暗号化して暗号文(E)を生成するための暗号文生成手段と、
上記暗号文(E)を用いてハッシュ関数(h(E))を計算し、上記秘密鍵(a)、上記乱数(b)及び上記ハッシュ関数(h(E))を用いて電子署名(s)を生成するための電子署名生成手段と、
上記電子署名(s)が所定の範囲に存在するか否かを確認し、上記ハッシュ関数(h(E))を計算し、上記電子署名(s)、上記整数(a)及び上記ハッシュ関数(h(E))を用いて第3内部自己同型写像(Inn(g)Inn(g−ha))を計算し、上記第3内部自己同型写像(Inn(g)Inn(g−ha))を用いて上記対称鍵(K)を復旧するための対称鍵復旧手段と、
上記対称鍵(K)を用いて上記暗号文(E)を復号化して復号文を求め、上記復号文から上記付加文を確認して上記電子署名が正しい署名なのか否かを確認するための署名確認手段と、
を備えていることを特徴とする。
また、本発明に係る有限非可換群の自己同型写像を用いた離散対数問題に基づく対称鍵交換システムの一態様は、
非可換群(G)の生成元及び元(p)を各々選択して、公開鍵(Inn(g))として用いられる第1内部自己同型写像(Inn(g))を計算するための公開鍵生成手段と、
第1ユーザによって選択された第1乱数(a)及び上記公開鍵(Inn(g))を用いて第2内部自己同型写像(Inn(g))を計算し、上記第2内部自己同型写像(Inn(g))を第2ユーザに提供するための手段と、
上記第2ユーザによって選択された第2乱数(b)及び上記第2内部自己同型写像(Inn(g))を用いて第3内部自己同型写像(Inn(gab))を計算し、上記第3内部自己同型写像(Inn(gab))を利用して対称鍵(K)を計算するための対称鍵計算手段と、
上記第2ユーザによって選択された上記第2乱数(b)を用いて第4内部自己同型写像(Inn(g))を計算して、上記第4内部自己同型写像(Inn(g))を上記第1ユーザに提供するための手段と、
上記第2ユーザによって提供された上記第4内部自己同型写像(Inn(g))及び上記第1乱数(a)を利用して上記第3内部自己同型写像(Inn(gab))を計算し、上記第3内部自己同型写像を利用して、上記対称鍵(K)を再計算するための対称鍵再計算手段と、
を備え、
上記再計算された対称鍵(K)は、上記第1ユーザに提供されることを特徴とする。
本発明によれば、有限非可換群の内部自己同型写像を用いた離散対数問題を利用することによって、次のような効果を得ることができる。
第一に、離散対数問題を速く解くための準指数時間アルゴリズムの適用を回避することができる。第二に、中心が大きい非可換群を使用することによって、共役演算問題に依存せずに、安全性を維持することができる。第三に、変形したエルガマル方式を適用することによって、メッセージを暗号化する度に異なる乱数を発生するので、暗号化する必要がなく、暗復号化の高速化を図ることができる。第四に、既存の非可換群を用いた公開鍵暗号化方法を署名に使用するのが困難であったのとは異なり、署名に容易に利用することができる。
以下、添付の図面を参照して本発明を詳細に説明する。
図1乃至図5は、本発明の実施の一形態における有限非可換群を用いた公開鍵暗号システムを説明するためのフローチャートであり、括弧中の内容は、一般化した有限非可換群の暗号システムに関する内容で、これについては後述する。
本発明は、特殊な共役演算問題及び離散対数問題に基づく新しい暗号化方法を提案する。pは、大きい素数であり、Gは、中心の元の個数が1個でない非可換群であり、第1元gは、Gの元であり、位数がpであり、Gの中心に入っていないものであり、{e}は、Gの生成元集合(generator set)であると仮定する。
ここで、
Figure 0003955567
であるとき、
Figure 0003955567
が既知であれば、同型写像(isomorphism)Inn(g)を得ることができる。即ち、mを
Figure 0003955567
によって表現すると、
Figure 0003955567
となる。Inn(g)は、
Figure 0003955567
で表すことができる。
これにより、図1に示したように、平文Mを暗号化するために使われる公開鍵の生成過程は、次の通りである。
素数値pを選択し(ステップS1)、上述の特徴を有する有限非可換群Gを選択する(ステップS2)。上記有限非可換群Gの元の生成元{e}が選択され、中心の元でなく、位数が大きい素数pを有する元gが選択される(ステップS3)。上記で与えられたgに対して内部自己同型写像Inn(g)が下記の数式(1)により計算される(ステップS4)。
Figure 0003955567
その後、上記素数pより小さい任意の第1整数aを選択して、秘密鍵として設定し、公開鍵は、内部自己同型写像Inn(g)(以下では「第1公開鍵」という。)と上記秘密鍵aを用いてInn(g)(以下では「第2公開鍵」という。)として設定する(ステップS5及びS6)。
上記のように設定された秘密鍵と公開鍵とを用いて平文Mを暗号化及び復号化する過程を、図2を参照して説明する。
上記平文Mは、非可換群Gの元m(即ち、m∈G)に変換され、上記元mは、生成元の積(product of e)により表現される(ステップS7及びステップS8)。また、任意の第2整数bが選択されると、上記bと上記第1公開鍵及び第2公開鍵を用いて各々第2内部自己同型写像Inn(g)及び第3内部自己同型写像Inn(gab)を計算する(ステップS9及びステップS10)。上記第2内部自己同型写像Inn(g)及び第3内部自己同型写像Inn(gab)を用いて暗号文Eを下記の数式(2)により計算して受信側に伝送する(ステップS11)。また、上記第2内部自己同型写像Inn(g)は、上記暗号文Eとともに受信側に伝送される。
Figure 0003955567
また、上記のように伝送された暗号文Eは、次のように復号化される。伝送された上記暗号文Eは、生成元の積により表現される(ステップS12)。
その後、秘密鍵aと上記第2内部自己同型写像Inn(g)を用いて第4内部自己同型写像Inn(g−ab)=Inn(g)-を計算する(ステップS13)。上記計算された値を利用すれば、mが下記の数式(3)により計算されるので、復号化がなされる(ステップS14)。
Figure 0003955567
上述したようなメッセージ暗復号方法を具現するための上記非可換群Gは、下記の数式(4)のように半直積(semi-direct product)により生成されることができる。
Figure 0003955567
ここで、SL(2、Z)は、非可換群Gの部分群であり、Gには、SL(2、Z)の位数pを有する巡回部分群(cyclic subgroup)αが存在し、θは、下記の数式(5)のように定義される。
Figure 0003955567
ここで、
Figure 0003955567
は、Zから上記巡回部分群への同型写像(isomorphism)である。
Figure 0003955567
が成立し、これを用いて(a、b)の共役演算を計算すれば、下記の数式(6)のようになるが、このとき、g=(x、y)とする。
Figure 0003955567
ここで、b=0に固定されると、下記の数式(7)が得られる。
Figure 0003955567
ここで、SL(2、Z)の特殊な共役演算問題を解くと、
Figure 0003955567
が得られる。上記の特殊な共役演算問題というのは、Inn(x)が与えられたとき、Inn(x′)=Inn(x)を満足するx′を求める問題である。
また、(x、y)∈Gが
Figure 0003955567
を満足すると仮定すれば、b≠0に対して、Zが可換群であり、
Figure 0003955567
が準同型写像(homomorphism)であるという事実を利用して容易に下記の数式(8)を得ることができる。
Figure 0003955567
即ち、特殊な共役演算問題に対する解の集合は、下記の数式(9)により表現することができる。
Figure 0003955567
ここで、Sは、元の個数であり、|S|は、2pである。
もしInn(g)=Inn(g)ならば、Inn(g−1)=Idが成立する。これは、g−1がGの中心にある1つの元であることを意味する。また、ある中心元gに対してInn(gg)=Inn(g)となる。従って、Gの中心の元の個数は、2pになることが分かる。また、中心でmとgとを選択する確率は、2p/p=1/p≒0、2p/p=2/p≒0であることに注目すべきである。また、mは、Gの部分群であるSL(2、Z)から選択する。
上記数式(4)により非可換群Gが生成されると、SL(2、Z)の生成元の集合は、{T、S}になる。これを表現すれば次の通りである。
Figure 0003955567
そして、ここには、SL(2、Z)の元(g∈SL(2、Z))の各々の分解(decomposition)を知ることができるアルゴリズムが存在する。即ち、SL(2、Z)の任意の元gは、下記の数式(10)により計算される。
Figure 0003955567
ここで、i、in+1は、0又は1であり、j=±1、±2・・・である。
もしm∈SL(2、Z)ならば、mは、下記の数式(11)により表現することができる(以下では「第1定理」という)。
Figure 0003955567
これを証明するために、
Figure 0003955567
を計算すれば、下記の数式(12)を得ることができる。
Figure 0003955567
上記数式(12)及びZが体(field)であるという事実から、ある与えられたm∈SL(2、Z)に対して
Figure 0003955567
を満足するj1, j2, j3 を求めることができる。即ち、上記3つの値 j1, j2, j3 が決定されれば、SL(2、Z)の総ての元が決定される。
{(T、0)、(S、0)、(I、0)}がGの生成元の集合であるから、gTg−1、gSg−1及びg(I、1)g−1が既知であれば、Inn(g)を求めることができる。また、m∈SL(2、Z)であり、SL(2、Z)がGの正規部分群(normal subgroup)であるから、Inn(g)は、SL(2、Z)に制限(restriction)して考えることができ、Inn(g)|SL(2、Zp)は、SL(2、Z)の自己同型写像(automorphism)となる。即ち、公開鍵は、Inn(g)|SL(2、Zp)とInn(g)|SL(2、Zp)となる。従って、{gTg−1、gSg−1}が既知であれば、Inn(g)|SL(2、Zp)を表現することができる。
位数がpであるSL(2、Z)の元のうち、例えば、I+δ12
Figure 0003955567
に選択される。
また、上記Inn(g)で非可換群Gの元gを選択する方法は、次の通りである。
(x、y)∈Gである条件に対して、
Figure 0003955567
となる(以下では「第2定理」という)。これを証明するために、帰納法及び下記の数式(13)を利用する。
Figure 0003955567
ここで、
Figure 0003955567
をある固定されたc∈ZとA∈SL(2、Z)に対して
Figure 0003955567
になるように定めると、位数がpであるgを選択でき、上記第2定理によりInn(g)の位数がpであることを知ることができる。もし、無作為にgを選択し、gの位数が固定されていなければ、離散対数問題に対する周知のアルゴリズムを適用するために、与えられた巡回群(cyclic group)の位数を知らなければならないので、安全性を増加させることができる。即ち、d|(p+1)(p−1)各々に対してgの位数がpであるという仮定下に、離散対数問題を解かなければならない。
上述した本発明は、Inn(g)から離散対数問題を解決できないため、安全性が維持されるが、これを詳細に説明すれば、次の通りである。
公開鍵Inn(g)及びInn(g)から離散対数問題を解き、秘密鍵aを得る場合、離散対数問題を解くための最も早いアルゴリズム(例えば、指数計算法)は適用されることができない。従って、gの位数がpならば、離散対数問題を解決するに要する予想実行時間(run time)がO(p)1/2−群演算(operations)になる。
また、秘密鍵を求める他の方法は、次の通りである。Gでの特殊な共役演算子問題(special conjugacy problem)は、難しい問題でなく、Gでの離散対数問題も下記の数式(14)から明らかなように難しくない。
Figure 0003955567
g及びgに対する離散対数問題を解くためには、ay=Yを解くことが必要である。しかし、Inn(g)だけが与えられた場合、S={g|Inn(g)=Inn(g)}の元の個数は、2pであるから、Sからgを求めるためには、O(p)回の試みが必要である。従って、この方法は、Inn(g)及びInn(g)から直接aを求めることより非効率的であることが分かる。
160ビット素数pを選択すれば、本発明の安全性は、1024ビットRSAと類似になる(即ち、Inn(g)で離散対数問題を解き、1024ビットRSAを因数分解するに要する予想実行時間は各々約287及び280になる)。また、Inn(g)は、Aut(G)⊂End(G)⊂Gに含まれ、ここで、End(G)は、Gの自己準同型(endomorphism)群であり、Gは、GからGまでの総ての関数の集合である。これらは、甚だしくは、行列群でも表現されないため、これらのいずれにも指数計算法を適用できない。
ここで、本発明をRSA及びXTRと比較すると、次のような利点があることが分かる。即ち、RSA及びXTRで公開鍵から秘密鍵を探すために必要とする予想実行時間は、準指数時間であるのに対し、本発明では、指数実行時間O(p)1/2が必要である。
ここで、Inn(g)からInn(g)を計算する方法を説明する。Inn(g)の計算は、下記の数式(15)及び数式(16)に示される通りである。
Figure 0003955567
Figure 0003955567
また、4回の乗算を用いて下記の数式(17)によりInn(g)(T)から(Inn(g)(T))を得ることができる。
Figure 0003955567
となる。
従って、Inn(g)(S)及びInn(g)(T)を計算するためには、92の乗算が必要である。従って、Inn(g)からInn(g)を計算するためには、約92logpの乗算が必要であり、Inn(g)からInn(gab)を計算するためには、92logpの乗算が必要である。従って、暗号化のための乗算の数は、約184logpとなる。1つの乗算が0((logp))ビット演算を必要とするので、暗号化は、ある定数cに対して約184(logp)C≒8×10Cビットの演算を必要とする。1024ビットRSAでは、(logn)C≒(1024)C≒10Cビットの演算が必要である。RSA暗号化設計で、公開指数が32ビットになれば、3.2×10Cビット演算が必要である。
本発明によれば、高速の暗号化及び復号化が可能なように変形が可能であるが、これを詳細に説明すれば、次の通りである。
例えば、「甲」が「乙」に暗号化したメッセージを送ろうとする場合、「甲」は、最初の通信時だけにInn(gとInn(g)を計算して、Inn(g)を「乙」に送る。「乙」は、受信したInn(g)を用いてInn(g−aを計算する。「甲」は、メッセージmを最初の通信後に固定されたbに対して暗号文E=Inn(g(m)で暗号化した後、上記暗号文Eを「乙」に送る。「乙」はInn(g−a(E)を計算することによってEを復号化できる。
即ち、与えられたInn(gとmからInn(g(m)を計算するために、46回の乗算が必要なので、暗号化に約1.2×10Cビットの演算が必要である。32ビット公開指数がRSAに使われても、暗号化に3.2×10Cビットの演算が必要である。本発明により暗号化を行うと、1024ビットRSAより約30倍程度早い暗号化がなされる。
また、復号化のためには、暗号化するために必要な分の乗算が必要である。RSAの復号化に際して、「中国余剰定理」(‘Chinese Remainder Theorem’)を適用しても、約2.5×10Cビットの演算が必要である。従って、本発明の復号化は、RSAの解読より200倍速い。
ECCでは、bが固定されてはならないため、gの事前計算が不可能になる。従って、170ビットECCでの復号化のための乗算の数は、各々1900になる。従って、ECCより約40倍程度速い復号化速度を有する。
また、ECCでは、復号化にO(logp)の乗算が必要なので、乗算の数は、ビットlogpの個数に比べて線形的に増加するであろう。これに対し、本発明の復号化には、pのサイズとは関係なく46回の乗算が必要である。下記の表1は、本発明及びECCの復号化に要する乗算の数を比較したデータである。
Figure 0003955567
上記表で、同じ行での暗号システムは、略同じ安全性を有する。
本発明は、鍵の表現及び鍵のサイズにおいて、Inn(g)(T)とInn(g)(S)は、SL(2、Z)の元として見なされ得るため、各々を3つの項により表現できる。Inn(g)(T)が3logpビットで表現されるので、Inn(g)を表現するためには、6logpビットが必要である。pが160ビット素数である場合、Inn(g)を表現するためには、960ビットが必要である。従って、公開鍵は、RSAより小さいサイズで表現され得る。秘密鍵のサイズは、logp≒160ビットであるから、1024ビットRSAよりかなり小さくなる。
上述したように、本発明は、有限非可換群を用いた新しい公開鍵暗号システムを提供し、上記暗号化方式に使用され得る有限非可換群の一例を提示する。上記のような暗号化方式は、有限非可換群にのみ限定されるものでなく、他の非可換群を利用する場合にも適用されることができる。しかし、暗号化の安全性のためには、非可換群を選択することに注意すべきである。
即ち、中心でない可換正規部分群の存在は、安全性を減少させる。従って、任意の可換正規部分群は小さくなければならないし、Gの元を生成元の積により表現するアルゴリズムは、効率的でなければならない。また、Inn(g)は、{Inn(g)(e)∈G|eは生成元}により表現されるので、生成元の個数が小さくなければならない。また、内部自己同型写像の代わりに、GからAut(G)までの他の準同型写像を使用することができる。
一方、上述した公開鍵暗号システムは、電子署名、鍵交換などいろいろな分野に適用することができる。上記公開鍵暗号システムを用いた電子署名及び鍵交換方式を説明すると、次の通りである。
上記公開鍵暗号システムを用いた電子署名方式は、図3及び図4に図示されている。例えば、「甲」が「乙」に平文Mを伝送しながら電子署名をすると仮定する。上記電子署名方式は、図1で説明された段階を通じて生成された公開鍵Inn(g)、Inn(g)及び秘密鍵aを用いて行われるが、その署名過程は、図3に示す通りである。「甲」は、乱数b(任意の整数から無作為に抽出された整数)を選択した後(ステップS31)、上記乱数bを用いてInn(g)を計算する(ステップS32)。上記Inn(g)を用いて対称鍵Kを生成し(ステップS33)、上記対称鍵Kを用いて付加文を含む平文(メッセージ)Mを暗号化して暗号文Eを求める(ステップS34)。
その後、上記暗号文Eを用いてハッシュ関数h=h(E)を計算し(ステップS35)、電子署名sは、下記の数式(18)により計算される(ステップS36)。
Figure 0003955567
「甲」は、上記暗号文Eと電子署名sを「乙」に伝送する。
上述したような電子署名の確認過程は、図4に示す通りである。「乙」は、伝送された電子署名sが0≦s<pの範囲内に存在するか否かを確認する(ステップS41)。「甲」は、ハッシュ関数h=h(E)を計算した後(ステップS42)、Inn(g)Inn(g−ha)を計算する(ステップS43)。その後、上記Inn(g)Inn(g−ha)を用いて対称鍵Kを復旧した後(ステップS44)、上記対称鍵Kを用いて暗号化された付加文を含む暗号文Eを復号化して、上記付加文が適切か否かを確認し、正しい署名なのか否かを確認する(ステップS45及びステップS46)。上記署名が正しい場合、平文(メッセージ)Mを正しいメッセージとして受け入れる。
上記電子署名方式で、対称鍵Kの代わりに、Inn(gab)(m)で暗号化してもよい。これにより、乱数bを固定して使用しても、暗号化及び復号化時と同様に、安全性には問題がない。
上記公開鍵暗号システムを用いた鍵交換方式は、図5に図示されている。例えば、「甲」と「乙」が互いに鍵を交換する場合、上記鍵交換方式は、図1で説明された段階を通じて生成された公開鍵Inn(g)を用いて行われるが、その鍵交換過程は、図5に示す通りである。
「甲」は、乱数aを選択した後(ステップS51)、上記乱数aを用いてInn(g)を計算する(ステップS52)。その後、「甲」は、Inn(g)を「乙」に伝送する。「乙」は、乱数bを選択した後(ステップS53)、上記乱数bを用いてInn(gab)を計算し(ステップS54)、上記Inn(gab)を用いて対称鍵Kを生成する(ステップS55)。
その後、「乙」は、Inn(g)を計算して「甲」に伝送し(ステップS56)、「乙」は、Inn(g)及び乱数aを用いてInn(gab)を計算する(ステップS57)。その後、「甲」は、Inn(gab)から対称鍵Kを求める(ステップS58)。
上記で説明した暗号システムは、次のように一般化することができる。上記で内部自己同型写像群を使用した理由は、一般的に自己同型写像群を知ることは容易でないが、部分群である内部自己同型写像群は容易に知ることができるからである。しかし、ある群の自己同型写像の他の部分群を知ることができれば、上記暗号システムの一般化を図ることができる。これを詳細に説明すると、次の通りである。群G及びG′に対して準同型写像Ф:G→Aut(G′)が与えられたとき、Ф(G)での離散対数問題を利用した暗号システムを、Inn(G)での離散対数問題を利用した上記暗号システムと同じ方法で作る。即ち、上記で使われたInnの代わりに、Фをそのまま適用する。この場合、メッセージmは、G′から選択され、E=Ф(g)ab(m)になる。内部自己同型写像群Inn(G)を使用した場合、安全性が、Ker(Inn)である中心のサイズと密接な関連があったことと同様に、この場合にも、安全性は、Ker(Ф)のサイズと密接な関係がある。
上記の一般化した暗号システムは、エルガマル暗号を含む大きなシステムである。エルガマル方式は、G=G′=Zのとき、上記の特殊な場合である。詳細に説明すれば、次の通りである。
Figure 0003955567
であるとき、
Figure 0003955567
を作ることができる。ここで、αの
Figure 0003955567
での位数を|α|とする。
Figure 0003955567
を満足するs、tに対して
Figure 0003955567
である同型写像を定義することができ、これから、可解群(solvable group)
Figure 0003955567
を作ることができる。このように定義されたGに対してInn(G)での離散対数を用いた基本的なシステムは、可換正規群の存在に起因して弱点を有する。しかし、
Figure 0003955567
とし、上記の一般化したシステムを使用すれば、弱点を補完することができる。
また、Gの特殊な共役演算問題を解くと、任意のInn(G)の元を生成元の積で容易に表現することができる。|t|と|s|を十分に小さく取れば、Gの特殊な共役演算問題を容易に解くことができるので、任意の元を生成元の積で容易に表現することができる。また、r=|α|であるとき、lcm(m/t−l、r)>>m/t−lであるr、m、tを選択する。
本発明による有限非可換群を用いた公開鍵の生成方法を説明するためのフローチャートである。 図1に示された公開鍵を用いてメッセージを暗号化及び復号化する方法を説明するためのフローチャートである。 図1に示された公開鍵を用いた電子署名方法を説明するためのフローチャートである。 図1に示された公開鍵を用いた電子署名確認方法を説明するためのフローチャートである。 図1に示された公開鍵を用いた鍵交換方法を説明するためのフローチャートである。

Claims (19)

  1. 第1非可換群(G)の生成元及び第1元(p)を各々選択して、第1公開鍵(Inn(g))として用いられる第1内部自己同型写像(Inn(g))を計算し、第1整数である秘密鍵(a)及び前記第1公開鍵(Inn(g))を用いて第2公開鍵(Inn(g))を生成するための公開鍵生成手段と、
    平文を第2非可換群の生成元の積により表現し、任意の第2整数(b)及び前記第1公開鍵(Inn(g))を用いて第2内部自己同型写像(Inn(g))を計算し、前記第2整数(b)及び第2公開鍵(Inn(g))を用いて第3内部自己同型写像(Inn(gab))を計算し、前記第3内部自己同型写像(Inn(gab))を用いて暗号文を生成するための暗号化手段と、
    前記秘密鍵(a)及び前記第2内部自己同型写像(Inn(g))を用いて第4内部自己同型写像(Inn(g−ab))を生成し、前記第4内部自己同型写像(Inn(g−ab))を用いて前記暗号文(E)を復号化するための復号化手段と、
    を備えていることを特徴とする有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  2. SL(2、Z)を非可換群、θをZからSL(2、Z)の自己同型写像群への単射である準同型写像とすると、前記第1非可換群(G)は、下記数式
    Figure 0003955567
    により表現されることを特徴とする請求項1に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  3. 前記第2非可換群は、前記第1非可換群(G)と同一であるか、又は、前記第1非可換群(G)の部分集合であることを特徴とする請求項1に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  4. 前記第1元(p)は、前記第1非可換群(G)の中心の元でなく、位数が大きい素数であることを特徴とする請求項1に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  5. T、Sを第2非可換群SL(2、Z)の生成元、gを第1元とすると、前記第1内部自己同型写像Inn(g)は、下記数式
    Figure 0003955567
    により計算されることを特徴とする請求項1に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  6. 前記秘密鍵(a)は、前記元(p)より小さい第1整数であることを特徴とする請求項1に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  7. 前記第2整数(b)は、高速の暗復号化が可能なように、前記暗号文(E)を生成する度に固定されることを特徴とする請求項1に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  8. Inn(gab)を第3内部自己同型写像、mを第2元とすると、前記暗号文(E)は、下記数式
    Figure 0003955567
    により計算されることを特徴とする請求項1に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  9. mを第2元、Inn(g−ab)を第4内部自己同型写像とすると、前記暗号文(E)は、下記数式
    Figure 0003955567
    により復号化されることを特徴とする請求項1に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  10. 非可換群(G)の生成元及び元(p)を各々選択して、第1公開鍵(Inn(g))として用いられる第1内部自己同型写像(Inn(g))を計算し、整数である秘密鍵(a)及び前記第1公開鍵(Inn(g))を用いて第2公開鍵(Inn(g))を生成するための公開鍵生成手段と、
    前記第1公開鍵(Inn(g))及び任意の乱数(b)を用いて第2内部自己同型写像(Inn(g))を計算し、前記第2内部自己同型写像(Inn(g))を用いて対称鍵(K)を生成するための手段と、
    前記対称鍵(K)を用いて付加文を含む平文を暗号化して暗号文(E)を生成するための暗号文生成手段と、
    前記暗号文(E)を用いてハッシュ関数(h(E))を計算し、前記秘密鍵(a)、前記乱数(b)及び前記ハッシュ関数(h(E))を用いて電子署名(s)を生成するための電子署名生成手段と、
    前記電子署名(s)が所定の範囲に存在するか否かを確認し、前記ハッシュ関数(h(E))を計算し、前記電子署名(s)、前記整数(a)及び前記ハッシュ関数(h(E))を用いて第3内部自己同型写像(Inn(g)Inn(g−ha))を計算し、前記第3内部自己同型写像(Inn(g)Inn(g−ha))を用いて前記対称鍵(K)を復旧するための対称鍵復旧手段と、
    前記対称鍵(K)を用いて前記暗号文(E)を復号化して復号文を求め、前記復号文から前記付加文を確認して前記電子署名が正しい署名なのか否かを確認するための署名確認手段と、
    を備えていることを特徴とする有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  11. SL(2、Z)を非可換群、θをZからSL(2、Z)の自己同型写像群への単射である準同型写像とすると、前記非可換群(G)は、下記数式
    Figure 0003955567
    により表現されることを特徴とする請求項10に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  12. 前記元(p)は、前記非可換群の中心の元でなく、位数が大きい素数であることを特徴とする請求項10に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  13. T、Sを非可換群SL(2、Z)の生成元、gを元とすると、前記第1内部自己同型写像(Inn(g))は、下記数式
    Figure 0003955567
    により計算されることを特徴とする請求項10に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  14. aを秘密鍵、hをハッシュ関数、bを乱数、pを素数とすると、前記電子署名(s)は、下記数式
    Figure 0003955567
    により計算されることを特徴とする請求項10に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  15. 前記署名は、0≦s<pの範囲内に存在することを特徴とする請求項10に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく公開鍵方式の暗号化システム。
  16. 非可換群(G)の生成元及び元(p)を各々選択して、公開鍵(Inn(g))として用いられる第1内部自己同型写像(Inn(g))を計算するための公開鍵生成手段と、
    第1ユーザによって選択された第1乱数(a)及び前記公開鍵(Inn(g))を用いて第2内部自己同型写像(Inn(g))を計算し、前記第2内部自己同型写像(Inn(g))を第2ユーザに提供するための手段と、
    前記第2ユーザによって選択された第2乱数(b)及び前記第2内部自己同型写像(Inn(g))を用いて第3内部自己同型写像(Inn(gab))を計算し、前記第3内部自己同型写像(Inn(gab))を利用して対称鍵(K)を計算するための対称鍵計算手段と、
    前記第2ユーザによって選択された前記第2乱数(b)を用いて第4内部自己同型写像(Inn(g))を計算して、前記第4内部自己同型写像(Inn(g))を前記第1ユーザに提供するための手段と、
    前記第2ユーザによって提供された前記第4内部自己同型写像(Inn(g))及び前記第1乱数(a)を利用して前記第3内部自己同型写像(Inn(gab))を計算し、前記第3内部自己同型写像を利用して、前記対称鍵(K)を再計算するための対称鍵再計算手段と、
    を備え、
    前記再計算された対称鍵(K)は、前記第1ユーザに提供されることを特徴とする有限非可換群の自己同型写像を用いた離散対数問題に基づく対称鍵交換システム。
  17. SL(2、Z)を非可換群、θをZからSL(2、Z)の自己同型写像群への単射である準同型写像とすると、前記非可換群(G)は、下記数式
    Figure 0003955567
    により表現されることを特徴とする請求項16に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく対称鍵交換システム。
  18. 前記元(p)は、前記非可換群の中心の元でなく、位数が大きい素数であることを特徴とする請求項16に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく対称鍵交換システム。
  19. T、Sを非可換群SL(2、Z)の生成元、gを元とすると、前記第1内部自己同型写像(Inn(g))は、下記数式
    Figure 0003955567
    により計算されることを特徴とする請求項16に記載の有限非可換群の自己同型写像を用いた離散対数問題に基づく対称鍵交換システム。
JP2003513179A 2001-07-12 2001-10-17 有限非可換群を用いた公開鍵暗号システム Expired - Fee Related JP3955567B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2001-0041839A KR100395158B1 (ko) 2001-07-12 2001-07-12 유한 비가환군을 이용한 공개키 암호 시스템
PCT/KR2001/001747 WO2003007539A1 (en) 2001-07-12 2001-10-17 Public key cryptosystem using finite non abelian groups

Publications (2)

Publication Number Publication Date
JP2004534971A JP2004534971A (ja) 2004-11-18
JP3955567B2 true JP3955567B2 (ja) 2007-08-08

Family

ID=19712086

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003513179A Expired - Fee Related JP3955567B2 (ja) 2001-07-12 2001-10-17 有限非可換群を用いた公開鍵暗号システム

Country Status (7)

Country Link
US (1) US7251325B2 (ja)
EP (1) EP1413084A4 (ja)
JP (1) JP3955567B2 (ja)
KR (1) KR100395158B1 (ja)
CA (1) CA2453234A1 (ja)
GB (1) GB2392806B (ja)
WO (1) WO2003007539A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2358048A1 (en) 2001-09-25 2003-03-25 Luis Rueda A cryptosystem for data security
US20040105546A1 (en) * 2002-11-19 2004-06-03 Leon Chernyak Geometry-Based Symmetric Cryptosystem Method
US8127140B2 (en) * 2005-01-21 2012-02-28 Nec Corporation Group signature scheme
KR101099814B1 (ko) * 2007-07-11 2011-12-27 도시바 솔루션 가부시끼가이샤 그룹 서명 시스템, 장치 및 기록 매체
CA2693234C (en) * 2007-07-17 2016-09-13 Certicom Corp. Method of providing text representation of a cryptographic value
CN101911582B (zh) * 2008-01-18 2012-09-05 三菱电机株式会社 密码参数设定装置、密钥生成装置、密码***、密码参数设定方法和密钥生成方法
WO2012159192A1 (en) * 2011-05-26 2012-11-29 Certicom Corp. Randomness for encryption operations
JP6019453B2 (ja) 2012-07-05 2016-11-02 株式会社クリプト・ベーシック 暗号化装置、復号化装置、及びプログラム
US10148285B1 (en) 2012-07-25 2018-12-04 Erich Schmitt Abstraction and de-abstraction of a digital data stream
US10795858B1 (en) 2014-02-18 2020-10-06 Erich Schmitt Universal abstraction and de-abstraction of a digital data stream
JP2020515093A (ja) * 2016-12-20 2020-05-21 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. 符号化加算のための計算デバイス
US11764940B2 (en) 2019-01-10 2023-09-19 Duality Technologies, Inc. Secure search of secret data in a semi-trusted environment using homomorphic encryption
RU2719634C1 (ru) * 2019-03-19 2020-04-21 Общество с ограниченной ответственностью "Код Безопасности" Способ формирования общего секретного ключа в группе абонентов

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2716058B1 (fr) * 1994-02-04 1996-04-12 France Telecom Procédé de signature numérique et d'authentification de messages utilisant un logarithme discret.
US5740250A (en) * 1995-12-15 1998-04-14 Moh; Tzuong-Tsieng Tame automorphism public key system
CA2256179C (en) * 1997-12-17 2002-05-07 Shigenori Uchiyama Encryption and decryption devices for public-key cryptosystems and recording medium with their processing programs recorded thereon
US6038317A (en) * 1997-12-24 2000-03-14 Magliveras; Spyros S. Secret key cryptosystem and method utilizing factorizations of permutation groups of arbitrary order 2l
US6493449B2 (en) * 1998-02-26 2002-12-10 Arithmetica, Inc. Method and apparatus for cryptographically secure algebraic key establishment protocols based on monoids
JP2000098886A (ja) * 1998-09-21 2000-04-07 Matsushita Electric Ind Co Ltd 公開鍵暗号方式
KR100370786B1 (ko) * 1999-07-06 2003-02-05 한국전자통신연구원 환 위의 타원곡선을 이용한 공개키 암호화 방법
KR100345685B1 (ko) * 1999-11-15 2002-07-27 한국전자통신연구원 땋임 연산을 이용한 암호화/복호화 시스템 및 그 방법과그를 위한 키 생성 방법
US7069287B2 (en) * 2000-09-19 2006-06-27 Worcester Polytechnic Institute Method for efficient computation of odd characteristic extension fields
KR100396740B1 (ko) * 2000-10-17 2003-09-02 학교법인 한국정보통신학원 계산적 디피-헬만 가정에 기반하는 안전성 증명 가능한공개키 암호화 방법
KR100340102B1 (ko) * 2000-11-30 2002-06-10 조휘갑 알에스에이 공개키 암호 고속화 장치 및 방법

Also Published As

Publication number Publication date
WO2003007539A1 (en) 2003-01-23
KR100395158B1 (ko) 2003-08-19
JP2004534971A (ja) 2004-11-18
GB2392806A (en) 2004-03-10
GB2392806B (en) 2004-09-01
US7251325B2 (en) 2007-07-31
US20040156498A1 (en) 2004-08-12
GB0400477D0 (en) 2004-02-11
EP1413084A1 (en) 2004-04-28
KR20030008037A (ko) 2003-01-24
CA2453234A1 (en) 2003-01-23
EP1413084A4 (en) 2009-12-09

Similar Documents

Publication Publication Date Title
CN111106936B (zh) 一种基于sm9的属性加密方法与***
US5220606A (en) Cryptographic system and method
US7574596B2 (en) Cryptographic method and apparatus
US20040165726A1 (en) Key agreement system, shared-key generation apparatus, and shared-key recovery apparatus
US7221758B2 (en) Practical non-malleable public-key cryptosystem
CN111211897B (zh) 一种基于随机预言模型的时间控制加密安全增强方法
US20060013389A1 (en) Cryptographic method and apparatus
JP3955567B2 (ja) 有限非可換群を用いた公開鍵暗号システム
US20240097894A1 (en) Threshold key exchange
WO2017063114A1 (zh) 建立抗攻击的安全性公钥密码的方法
Azarderakhsh et al. How not to create an isogeny-based PAKE
US7248692B2 (en) Method of and apparatus for determining a key pair and for generating RSA keys
Heninger RSA, DH, and DSA in the Wild
KR100396740B1 (ko) 계산적 디피-헬만 가정에 기반하는 안전성 증명 가능한공개키 암호화 방법
KR20040009766A (ko) 암호 시스템에서 송수신 장치 및 방법
US20050135610A1 (en) Identifier-based signcryption
EP2395698A1 (en) Implicit certificate generation in the case of weak pseudo-random number generators
JP4563037B2 (ja) 暗号化装置および復号化装置、並びにこれらを備えた暗号システム、暗号化方法および復号化方法
Andreevich et al. On Using Mersenne Primes in Designing Cryptoschemes
Lafourcade et al. Linear generalized elgamal encryption scheme
Sow et al. Linear generalized ElGamal encryption scheme
JP2002023626A (ja) 公開鍵暗号方法および公開鍵暗号を用いた通信システム
KR20020051597A (ko) 비대칭키 암호 알고리즘을 이용한 데이터 암호화 시스템및 그 방법
Tiplea A brief introduction to quadratic residuosity based cryptography
CN113141249B (zh) 一种门限解密方法、***及可读存储介质

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060714

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20061016

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20061027

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070403

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070502

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees